根据网络安全公司卡巴斯基(Kaspersky)的说法,恶意行为者正在尝试通过嵌入在假的微软(Microsoft)Office插件中的恶意软件来盗取加密货币,这些扩展上传到软件托管网站SourceForge。
其中一个恶意列表名为“officepackage”,包含真正的微软Office插件,但隐藏了名为ClipBanker的恶意软件,该软件会将计算机剪贴板上复制的加密钱包地址替换为攻击者的地址。卡巴斯基的反恶意软件研究团队在4月8日的报告中表示。
“加密钱包用户通常会复制地址而不是手动输入。如果设备感染了ClipBanker,受害者的钱将会流向完全意想不到的地方,”该团队表示。
假项目的页面在SourceForge上模仿合法开发工具页面,显示Office附加组件和下载按钮,并且也可能出现在搜索结果中。
卡巴斯基表示在软件托管网站SourceForge上发现了一个加密货币盗窃恶意软件。来源: 卡巴斯基
卡巴斯基表示,恶意软件感染链的另一个特征是通过Telegram向黑客发送感染设备信息,如IP地址、国家和用户名。
恶意软件还可以扫描感染系统是否已安装过或是否有杀毒软件,并删除自身。
攻击者可能将系统访问权出售给其他人
卡巴斯基表示,虚假下载中的一些文件很小,这引发了“危险信号,因为Office应用程序从来没有那么小,即使是压缩的。”
其他文件被填充垃圾数据以说服用户他们正在查看一个真正的软件安装程序。
该公司表示,攻击者通过“多种方法,包括非常规方法”来确保对感染系统的访问。
“虽然攻击主要通过部署挖矿程序和ClipBanker来针对加密货币,但攻击者可能会将系统访问权出售给更危险的行为者。”
该界面是俄语的,卡巴斯基推测这可能意味着其目标是俄语用户。
“我们的遥测数据显示,90%潜在受害者在俄罗斯,那里在1月初到3月底之间有4,604名用户遇到了该骗局,”报告指出。
为了避免成为受害者,卡巴斯基建议仅从可信来源下载软件,因为盗版程序和替代下载选项带有更高的风险。
“将恶意软件伪装成盗版软件进行分发并不是什么新鲜事,”该公司表示。“随着用户寻找在官方来源之外下载应用程序的方法,攻击者提供了他们自己的。他们不断寻找新的方式让他们的网站看起来合法。”
其他公司也在对新的针对加密货币用户的恶意软件形式发出警告。
Threat Fabric在3月28日的报告中表示发现了一种新的恶意软件家族,可以启动一个假覆盖层来欺骗Android用户提供他们的加密种子短语,因为它会接管设备。